Este documento presenta el diseño preliminar de una honeynet para estudiar patrones de ataques en las redes de datos de la ESPOL. El diseño propone instalar una pasarela de capa 2 que actúe como puente entre la red de producción y la red honeynet, permitiendo el monitoreo y control del tráfico entrante y saliente. La honeynet emulará servicios como un servidor web y base de datos para atraer ataques, los cuales serán registrados y analizados. El objetivo es mejorar la seguridad de las redes
Diseño preliminar de una honeynet para estudiar patrones de ataques en las redes de datos de la ESPOL
1. Diseño preliminar de una honeynet para estudiar patrones de ataques en las
redes de datos de la ESPOL
Pazmiño, Mayra; Avilés, Jorge; Abad, Cristina Ms.Sc.
Grupo de Visualización Científica y Sistemas Distribuidos
Facultad de Ingeniería en Electricidad y Computación (FIEC)
Escuela Superior Politécnica del Litoral (ESPOL)
Campus Gustavo Galindo, Km 30.5 vía Perimetral
Apartado 09-01-5863. Guayaquil-Ecuador
{mpazmino,iaviles,cabad}@fiec.espol.edu.ec
1. Introducción atacantes. Una Honeynet es una arquitectura, no un
En la actualidad las redes de datos se ven producto concreto o un software determinado.
frecuentemente atacadas y vulneradas. Por lo tanto,
es muy importante la elaboración de una estrategia Un honeypot o “tarro de miel” en el campo de la
correcta que nos permita tener un grado adecuado seguridad en redes de información se define como
de protección hacia las mismas. Formando parte de un recurso de la red que se encuentra
dicha estrategia encontramos dispositivos de voluntariamente vulnerable para que el atacante
detección y bloqueos de ataques en la red. pueda examinarla, atacarla, etc. Directamente no es
Dentro del arsenal de defensa de las redes en el solución a ningún problema; su función principal es
Campus Politécnico, podemos encontrar una gran recoger información importante sobre el atacante
gama de mecanismos, como firewalls, sistemas de que permita prevenir estas incursiones dentro del
detección de intrusos (IDS), redes privadas ámbito de la red real en casos futuros.
virtuales (VPNs), listas de control de acceso, entre
otras, las cuales trabajan como parte de un todo Este trabajo consiste en presentar un diseño
que ayuda a incrementar la seguridad de los preliminar de una Honeynet en redes de la ESPOL,
sistemas. Sin embargo, todas estas medidas son de la cual nos proporcionará una visión más clara
pura defensa de recursos, dejando a un lado la sobre tipos de ataque que sufren las redes de datos.
capacidad pro-activa que puede ayudar en un grado
muy considerable. Con el análisis de la arquitectura en las redes de
datos de la ESPOL y considerando las distintas
Un problema de los mecanismos de seguridades clases de Honeynets hemos elaborado un diseño
mencionados anteriormente, es que muchas veces preliminar que servirá de pauta para la implantación
no están correctamente configurados, y pueden dar de una Honeynet y de fuente para un futuro análisis
una falsa sensación de seguridad. Para plantear las forense de los datos obtenidos.
reglas correctas en firewalls, IDSs y ACLs, es
imprescindible que el administrador de la red tenga Algunos de nuestros objetivos para este proyecto
una visión detallada y realista de los tipos de son:
ataques a los que su red es susceptible. Con esta
finalidad, los expertos en seguridades recomiendan Elaboración del diseño preliminar de una
un monitoreo constante de la red y la instalación de Honeynet que será implantando en las
equipos configurados con esta finalidad. redes de la ESPOL.
Según su concepto, las Honeynets son mecanismos Proporcionar una herramienta de
relativamente simples, donde se crea una red muy aprendizaje e investigación para cualquier
parecida a una pecera, en la cual podemos ver todo curso de seguridad informática o de
lo que ocurre en ella, los intrusos o hackers serán investigación que se este realizando dentro
los peces que nadarán en el entorno virtual pero sin de la ESPOL.
saber que son observados. Además igual que en una
pecera, se puede agregar diferentes cosas las cuales Adquirir experiencias sobre el uso de
nos ayudarán a monitorizar al intruso mientras Honeynets en una ambiente real,
aprendemos de sus técnicas. Esta red de datos recolección y análisis de datos.
controlada se convierte en nuestra Honeynet. Las
actividades capturadas nos enseñan las Registrar y documentar las técnicas y
herramientas, motivos y tácticas usadas por los herramientas usadas en la implantación de
intrusos. la honeynet así como de los datos
obtenidos.
Una Honeynet es un tipo concreto de honeypot pero
altamente interactivo, diseñado para la
investigación y la obtención de información sobre
2. 2. Materiales y Métodos interno están en la misma red IP. Esto nos ofrece
diversas ventajas: (1) el hecho de que el dispositivo
Cualquier recurso digital puede constituir un sea de capa 2 lo hará mucho más difícil de detectar,
Honeypot, desde un servidor o cualquier equipo ya que no hay enrutamiento de tráfico ni
dentro de nuestra red, pero teniendo en claro que decrementos en el tiempo de vida (TTL), además el
ninguno de estos recursos que sea usado debe ser dispositivo está más oculto, así que los atacantes no
un sistema de producción o formar parte de uno. sabrán que su tráfico está siendo analizado y
controlado. (2) La segunda ventaja es que, como
pasarela, todo tráfico entrante o saliente debe pasar
Los pasos básicos para implantar una Honeynet en a través del dispositivo, de esta forma podemos
una red son: (1) colocar un recurso que no contenga capturar y controlar tanto el tráfico entrante como el
información de producción, así nada ni nadie en la saliente desde un único dispositivo.
red pueda interactuar ni saber de él, (2) registrar Tanto el control del flujo de datos como la captura
cualquier transacción que se realice desde o hacia el de datos, estarán bajo herramientas libres como
recurso, ya que significará que es un acceso no sniffers, alamas y script para bloqueo y control de
autorizado. ataques, todo esto corriendo sobre una distribución
Una Honeynet presenta dos requerimientos básicos Linux que soporte funciones de puente.
para ser realmente útil y que nos permita la
extracción de información valiosa: (1) Control del
flujo de datos (Data control): consiste en mantener 3. Resultados
siempre un control del flujo de datos para evitar que
el atacante la utilice a la Honeynet contra terceros o En la realización de esta investigación
contra la propia red de producción. (2) Captura de encontramos que existe un total apoyo por parte
datos (Data capture): consiste en la captura de los administradores de las redes de la ESPOL
sigilosa de todos los movimientos y acciones que para la investigación e innovación de nuevas
técnicas en las seguridades de las redes de datos,
realice el atacante en nuestra Honeynet que nos
dando como resultado la concientización de los
revelará sus técnicas y motivaciones.
administradores de red los distintos problemas a
los que están expuestos las redes de la ESPOL
Para la elaboración del diseño preliminar de nuestra
Honeynet presentado en este proyecto, se ha 4. Conclusión
escogido a la red del Centro de Información
Bibliotecario (CIB) de la ESPOL, que ha sido Los resultados de nuestro análisis serán de
analizada en su estructura y servicios, en el cual mucha importancia para mejorar la seguridad de
hemos decidido agregar nuestro Honeynet dentro las redes de datos de la ESPOL. Es importante
del espacio de direcciones de producción debido a también considerar que hasta donde hemos
que contiene servicios sensibles y muy susceptibles podido averiguar, en Ecuador no hay
a ataques que son: un servidor Web, un servidor de documentación de ningún estudio similar, por lo
base de datos y los diferentes computadores que la documentación de nuestros resultados
ubicados dentro del área Administrativa, que son la podrá ser utilizado por cualquier institución
base de los servicios digitales prestados por la ecuatoriana que desee entender mejor el tipo de
Biblioteca. ataques a los que están expuestas las redes de
datos de nuestro país.
Nuestro diseño preliminar tal como lo muestra la
Finalmente, la implantación de un Honeynet en
FIGURA 1, estará constituido por una pasarela de una institución educativa abre nuevos campos de
capa 2, que actuará como puente. La interfaz investigación en seguridad informática forense,
externa de nuestra pasarela gateway (eth0) está los cuales serán explorados en futuros proyectos
conectada a la red de sistemas de producción. El del nuestro equipo de investigación.
interfaz interno de nuestro gateway (eth1) está
conectado a la red de sistemas Honeynet
(Honeypots) que levantarán servicios similares a los
que están en producción, con el fin de ser usados
como señuelos para ser detectados por intrusos.
Como puente, tanto el interfaz externo como el
3. 5. Tablas y Figuras
Figura 1: Arquitectura de la Honeynet y implantada en la red de producción del CENTRO DE
INFORMACIÓN BIBLIOTECARIO.
Tabla 1: Tabla de las interfaces de red e IPs de los equipos en la Honeynet y la red de produción